晶元「漏洞門」被提前泄露，英特爾股價暴跌，市值蒸發200億美元

自美國科技博客The Register於2018年1月2日率先披露由CPU Speculative Execution引發的晶元級安全漏洞Spectre（中文名「幽靈」，有CVE-2017-5753和CVE-2017-5715兩個變體）、Meltdown（中文名「熔斷」，有CVE-2017-5754一個變體）以來，英特爾、ARM、AMD、蘋果、IBM、高通、英偉達等都已承認自家處理器存在被攻擊的風險。

儘管由CPU底層設計架構引發的此次安全「漏洞門」事件，波及到幾乎所有的晶元廠商，但全球晶元業「老大」——英特爾成為最顯著的輸家。《中國經營報》記者注意到，英特爾的股價已經由1月2日的46.85美元/股下跌至1月11日的42.50美元/股，市值縮水204億美元。又觀英特爾的競爭對手AMD，該公司股價已經從1月2日的10.98美元/股漲至1月11日的11.93美元/股，漲幅接近10%。

英特爾等晶元廠商、微軟等操作系統廠商、蘋果等終端廠商應對此次CPU安全「漏洞門」的措施均指向「打補丁」。英特爾中國相關發言人1月10日在電話和郵件中告訴《中國經營報》記者，「（2017年）12月初我們開始向OEM合作夥伴發布固件更新。我們預計（過去）一周內發布的更新將覆蓋過去5年內推出的90%以上的英特爾處理器，其餘的將在（2018年）1月底前發布。此後我們將繼續發布其他產品的更新。」該發言人強調英特爾「不會進行晶元召回」。

「漏洞門」被提前泄露

此輪CPU「漏洞門」被譽為「千年蟲」之後計算設備發展史上最大的安全漏洞。

什麼是「千年蟲」？也就是計算機2000年問題。因為以前計算機內存比較小，年份都是用兩位數表示，比如1980年就是80，到1999年，80年出生就是99-80=19歲，但是在2000年，變成00-80=-80歲了，這就是所謂的「計算機2000年問題」。

此次CPU「漏洞門」又是怎麼回事？華為一位技術專家告訴《中國經營報》記者，人們向計算機發出的指令分為正常可被執行、異常不被執行兩種，按照最初的架構設計，異常不被執行的指令會留在緩存裡面，同時被認為不會留下任何痕迹，所以即使這些指令可以看到內存機密信息也沒關係，但現在已證實這些指令還是在曾經訪問過的內存裡面留下蛛絲馬跡，並且可以被攻擊者利用，從而導致用戶敏感信息泄露。

谷歌旗下的Project Zero（零項目）團隊率先發現了由CPU Speculative Execution引發的這些晶元級漏洞，並將之命名為Spectre（幽靈）和Meltdown（熔斷），並通過測試證實了Spectre（幽靈）影響包括英特爾、AMD、ARM等在內的眾多廠商的晶元產品，Meltdown（熔斷）則主要影響英特爾晶元。

「這些漏洞是谷歌公司的Project Zero團隊最初在2017年6月向英特爾、AMD、ARM公司通報的。因為這些安全風險涉及各種不同的晶元架構，所以在獲得Project Zero團隊通報並對問題予以驗證之後，英特爾、AMD、ARM等廠商迅速走到一起，並由谷歌牽頭簽訂了保密協議，同時在保密協議的約束下展開合作，從而保證在約定的問題披露期限（2018年1月9日）到達之前找到解決問題的方案。」英特爾中國相關人士告訴《中國經營報》記者。

不僅是谷歌的Project Zero團隊，在2017年下半年又有數位研究者獨立發現了這些安全漏洞。「這些研究者得知這些安全問題已經由Project Zero團隊向晶元廠商做出通報，產業界正在合作，加緊開發解決方案之後，也同意在產業界協商同意的披露時間點（2018年1月9日）之前對他們的發現予以保密。」英特爾中國相關人士表示。

但隨著披露時間點（2018年1月9日）的臨近，此次CPU安全「漏洞門」還是在2018年1月2日被提前披露。谷歌隨後2018年1月3日也披露了相關情況——Project Zero團隊在2017年6月1日向英特爾、AMD、ARM通報了Spectre，2017年7月28日又向英特爾通報了Meltdown。

抱團應對

儘管與「千年蟲」類似，此次CPU安全「漏洞門」的根本原因是底層架構設計造成的，但問題被披露以後，輿論的矛頭主要指向了英特爾。

一位業內人士在接受《中國經營報》記者採訪時認為，一方面是因為Spectre和Meltdown兩個漏洞都涉及到了英特爾，另一方面是因為英特爾是全球晶元行業的「老大」，其產品覆蓋面、受影響的用戶群體無疑是最大的。

對於CPU安全「漏洞門」被媒體定義為英特爾晶元安全「漏洞門」，英特爾方面頗感委屈。《中國經營報》記者2018年1月3日收到的《英特爾關於安全研究結果的回應》稱，這些安全漏洞「不是英特爾產品所獨有」。1月4日，英特爾發布更新聲明，表示「英特爾已經針對過去5年中推出的大多數處理器產品發布了更新。到下周末（1月14日），英特爾發布的更新預計將覆蓋過去5年中推出的90%以上的處理器產品。」

根據美國《俄勒岡人報》報道，英特爾CEO柯再奇在1月8日還向員工發送了一份備忘錄，表明該公司將建立新的「英特爾產品保證和安全」部門，加強安全工作。柯再奇在1月9日的CES 2018開幕演講中再次強調，「在本周內，修復更新將覆蓋到90%的近5年產品，剩餘的10%也會在1月底前修復。」

在英特爾之後，AMD、ARM、高通、英偉達、蘋果、IBM等廠商也陸續承認了此次「漏洞門」對自家的產品有影響，並表示可以通過系統補丁更新進行解決。

比如，ARM在公開聲明中表示「許多Cortex系列處理器存在漏洞」；AMD官方聲明承認部分處理器存在安全漏洞；IBM表示「谷歌公布的晶元潛在攻擊隱患對所有微處理器都有影響，包括IBM Power系列處理器」；高通表示，「針對近期曝光的晶元級安全漏洞影響的產品，公司正在開發更新」；英偉達聲稱，該公司部分晶元被Spectre影響，可以引發內存泄露。上述公司在承認受到「漏洞門」影響的同時，也都表示正在或者已經開發安全補丁，以提升受影響晶元的安全水平。

不僅是晶元廠商，微軟、谷歌、蘋果等操作系統及終端廠商，也陸續加入為用戶「打補丁」的行列。比如，蘋果在官方網站承認「所有的Mac系統和iOS設備都受影響，但到目前為止還沒有利用該漏洞攻擊消費者的實例」；蘋果還聲稱，「將更新Safari以防範攻擊，同時也在對兩種漏洞進行進一步的研究，將在iOS、macOS以及tvOS更新中發布新的解決方案。」

現集體訴訟

儘管晶元廠商、操作系統廠商、終端產品廠商都在嘗試用「打補丁」的方式解決此次CPU安全「漏洞門」危機，但消費者對產業界的應對方式並不滿意。

根據美國科技新聞網站Engadget報道，因為CPU安全「漏洞門」事件，英特爾在美國已遭遇三宗訴訟，且全是集體訴訟。Engadget認為，這意味著受到損害的更多消費者可以加入原告隊伍進行索賠。目前還未爆髮針對AMD等其他廠商的訴訟事件。

簡單來說，消費者起訴英特爾的原因主要有兩個層面，一是時隔半年之後才披露安全隱患，二是「打補丁」會影響自己電腦的性能表現。

對於延期披露的問題，英特爾中國相關人士表示，這是在為積極應對爭取時間，從得知漏洞存在到如今的6個月，英特爾一直在聯合其他廠商加快尋找問題解決之道，「一個由大型科技公司組成的聯盟已經展開合作，研究並準備應對方案」。

對於影響設備性能的問題，外媒援引一名開發人員的說法稱，對CPU內核進行的修補將影響所有的操作系統工作，大部分軟體運行將出現「一位數下滑」（即10%以下），典型性能下降幅度為5%，而在聯網功能方面，最糟糕的性能下降幅度為30%。也就是說，通過「打補丁」解決安全「漏洞門」，將導致計算設備性能下降5%~30%。

但英特爾方面在郵件中堅持認為，「Meltdown和Spectre兩個CPU漏洞不會對電腦性能產生太大影響」，該公司「SYSmark測試顯示，『打補丁』之後的CPU性能降幅大約為2%~14%」。

事實上，《中國經營報》記者注意到，英特爾和AMD等廠商在過去發生過多起CPU Bug事件，比如1994年發現的奔騰FDIV Bug、1997年發現的奔騰FOOF Bug事件、2008年發現的英特爾ME漏洞等，以及AMD的Phenom（弈龍） TLB Bug、Ryzen（銳龍） Segfault Bug等。其中英特爾奔騰FDIV Bug是一個不折不扣的缺陷，最初英特爾並不重視，只決定為部分被證明受影響的用戶更換CPU，後來迫於輿論和市場壓力，英特爾召回了所有受影響的CPU，當時損失高達4.75億美元。後來被發現的多起CPU Bug事件，英特爾和AMD都是通過「打補丁」的方式來解決問題的。

針對此次安全「漏洞門」，英特爾會不會召回自家晶元？英特爾中國相關發言人援引柯再奇的公開說法稱，Meltdown和Spectre要比1994年的奔騰FDIV容易解決，而且英特爾已經開始在解決這些漏洞，因此英特爾「不會召回受Meltdown和Spectre漏洞影響的晶元產品」。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！